JDBC开发步骤和prepareStatement的优点

一、JDBC开发步骤

创建一个以JDBC连接数据库的程序，包含7个步骤：

1.   1、加载JDBC驱动程序：   
2.      在连接数据库之前，首先要加载想要连接的数据库的驱动到JVM（Java虚拟机），这通过java.lang.Class类的静态方法forName(String  className)实现。 例如：   
3.     try{   
4.     //加载MySql的驱动类   
5.     Class.forName("com.mysql.jdbc.Driver") ;   
6.     }catch(ClassNotFoundException e){   
7.     System.out.println("找不到驱动程序类 ，加载驱动失败！");   
8.     e.printStackTrace() ;   
9.     }   
10.    成功加载后，会将Driver类的实例注册到DriverManager类中。   
11.  2、提供JDBC连接的URL   
12.    •连接URL定义了连接数据库时的协议、子协议、数据源标识。   
13.     书写形式：协议：子协议：数据源标识   
14.     协议：在JDBC中总是以jdbc开始   
15.     子协议：是桥连接的驱动程序或是数据库管理系统名称。   
16.     数据源标识：标记找到数据库来源的地址与连接端口。   
17.     例如：（MySql的连接URL）   
18.     jdbc:mysql:   
19.         //localhost:3306/test?useUnicode=true&characterEncoding=gbk ;   
20.    useUnicode=true：表示使用Unicode字符集。如果characterEncoding设置为   
21.    gb2312或GBK，本参数必须设置为true 。characterEncoding=gbk：字符编码方式。   
22.  3、创建数据库的连接   
23.     •要连接数据库，需要向java.sql.DriverManager请求并获得Connection对象，   
24.      该对象就代表一个数据库的连接。   
25.     •使用DriverManager的getConnectin(String url , String username ,    
26.     String password )方法传入指定的欲连接的数据库的路径、数据库的用户名和   
27.      密码来获得。   
28.      例如：   
29.      //连接MySql数据库，用户名和密码都是root   
30.      String url = "jdbc:mysql://localhost:3306/test" ;    
31.      String username = "root" ;   
32.      String password = "gg" ;   
33.      try{   
34.     Connection con =    
35.              DriverManager.getConnection(url , username , password ) ;   
36.      }catch(SQLException se){   
37.     System.out.println("数据库连接失败！");   
38.     se.printStackTrace() ;   
39.      }   
40.  4、创建一个Statement   
41.     •要执行SQL语句，必须获得java.sql.Statement实例，Statement实例分为以下3  
42.      种类型：   
43.       1、执行静态SQL语句。通常通过Statement实例实现。   
44.       2、执行动态SQL语句。通常通过PreparedStatement实例实现。   
45.       3、执行数据库存储过程。通常通过CallableStatement实例实现。   
46.     具体的实现方式：   
47.         Statement stmt = con.createStatement() ;   
48.        PreparedStatement pstmt = con.prepareStatement(sql) ;   
49.        CallableStatement cstmt =    
50.                             con.prepareCall("{CALL demoSp(? , ?)}") ;   
51.  5、执行SQL语句   
52.     Statement接口提供了三种执行SQL语句的方法：executeQuery 、executeUpdate   
53.    和execute   
54.     1、ResultSet executeQuery(String sqlString)：执行查询数据库的SQL语句   
55.         ，返回一个结果集（ResultSet）对象。   
56.      2、int executeUpdate(String sqlString)：用于执行INSERT、UPDATE或   
57.         DELETE语句以及SQL DDL语句，如：CREATE TABLE和DROP TABLE等   
58.      3、execute(sqlString):用于执行返回多个结果集、多个更新计数或二者组合的   
59.         语句。   
60.    具体实现的代码：   
61.           ResultSet rs = stmt.executeQuery("SELECT * FROM ...") ;   
62.     int rows = stmt.executeUpdate("INSERT INTO ...") ;   
63.     boolean flag = stmt.execute(String sql) ;   
64.  6、处理结果   
65.     两种情况：   
66.      1、执行更新返回的是本次操作影响到的记录数。   
67.      2、执行查询返回的结果是一个ResultSet对象。   
68.     • ResultSet包含符合SQL语句中条件的所有行，并且它通过一套get方法提供了对这些   
69.       行中数据的访问。   
70.     • 使用结果集（ResultSet）对象的访问方法获取数据：   
71.      while(rs.next()){   
72.          String name = rs.getString("name") ;   
73.     String pass = rs.getString(1) ; // 此方法比较高效   
74.      }   
75.     （列是从左到右编号的，并且从列1开始）   
76.  7、关闭JDBC对象    
77.      操作完成以后要把所有使用的JDBC对象全都关闭，以释放JDBC资源，关闭顺序和声   
78.      明顺序相反：   
79.      1、关闭记录集   
80.      2、关闭声明   
81.      3、关闭连接对象   
82.           if(rs != null){   // 关闭记录集   
83.         try{   
84.             rs.close() ;   
85.         }catch(SQLException e){   
86.             e.printStackTrace() ;   
87.         }   
88.           }   
89.           if(stmt != null){   // 关闭声明   
90.         try{   
91.             stmt.close() ;   
92.         }catch(SQLException e){   
93.             e.printStackTrace() ;   
94.         }   
95.           }   
96.           if(conn != null){  // 关闭连接对象   
97.          try{   
98.             conn.close() ;   
99.          }catch(SQLException e){   
100.             e.printStackTrace() ;   
101.          }   
102.           } 

103. 二、preparestatement的优点

104. 我们为什么在程序中要使用PreparedStatement而不是Statement？有以下几个原因。
     1，从程序本身的角度来看，PreparedStatement更具效率。
     我们通过connection.preparedStatement(sql)方法来获得PreparedStatment对象，然后通过preStatement.setXXX来设置查询参数。
     如果我有2个查询，SQL语句都一样，但是参数不同，使用PreparedStatment的话只需setXXX不同的参数、再次查询即可，而如果使用Statement的话，
     需要重新创建Statement对象，connection.createStatement(sql)
     
     2，从数据库层面来讲，PreparedStatment更具效率。
     在使用PreparedStatement时，数据库系统会对sql语句进行预编译处理（前提是JDBC驱动支持），具体包括SQL语句的分析，编译，优化等过程，预编译后会缓存起来，执行计划同样也会缓存起来，编译的sql查询语句能在将来的查询中重用（同样的查询，哪怕参数值不同）。
     

     需要注意的是，使用PreparedStatement时，SQL不要用String追加参数值，而应该使用preStatement.setXXX来设置查询参数。

     
     3，PreparedStatment可以防止SQL注入。
     如：String sql = "SELECT * FROM user WHERE name = '"+ userName + "' and password = '"+ passWord +"';"
     恶意输入参数值：userName = "1' OR '1'='1";    passWord = "1' OR '1'='1";
     最终sql会变成：String sql = "SELECT * FROM user WHERE name = '1' OR '1'='1' and password= '1' OR '1'='1';"
     这条语句相当于select * from user。
     如果用户再加上drop table user，后果将不堪设想。
     所以使用PreparedStatement能避免此种情况，因为数据库系统不会将参数的内容视为SQL指令的一部分来处理，只有在数据库完成SQL指令的编译后，才套用参数运行。因此就算参数中含有破坏性的指令，也不会被数据库所运行。